DevSecOps: segurança em todos os ciclos de vida de uma aplicação

- 07/04/2022

Segurança integrada de maneira automatizada em todos os níveis e ciclos de vida do desenvolvimento de um software. Isso é o que promete a chamada abordagem DevSecOps, nome que à primeira vista é pouco amigável, mas é basicamente a abreviação das palavras desenvolvimento, segurança e operações, em inglês. Esse conceito identifica antecipadamente as falhas e vulnerabilidades em um código e reduz o risco à segurança, sem prejudicar os cronogramas ágeis de desenvolvimento. 

Pelo contrário, oferece maior velocidade e agilidade nas entregas, com capacidade de resposta imediata a possíveis ajustes, sem a necessidade de intervenção humana. O que, em projetos tradicionais, levaria  dias ou semanas de trabalho, usando a metodologia DevSecOps, pode ser medido em minutos. Sérgio Leal Fonseca, coordenador de Desenvolvimento de Sistemas na Unidade de Serviços Digitais Especializados (USDE) da RNP, exemplifica: “As atualizações das soluções que tradicionalmente exigem janelas de horas com a aplicação fora do ar e a alocação de múltiplos profissionais podem ser realizadas de maneira transparente, sem impactar o usuário final e com baixa alocação do time”. 

Segurança, check! Agilidade, check! Outras vantagens oferecidas são maior qualidade do produto final, graças à padronização, automação e melhoria de processos estabelecidas pelo DevSecOps, e significativa diminuição do custo de uma aplicação, de médio a longo prazo, em uma economia média de, pelo menos, 50% em custos com horas trabalhadas por profissionais e 70% em custos com nuvem. 

Para os times envolvidos também há impacto com a adoção da abordagem, que promove uma cultura de colaboração e comunicação contínua e flexível entre equipes de segurança, infraestrutura e desenvolvimento, em um ambiente de trabalho mais estável, com maior previsibilidade. Com a automação de tarefas, os membros desse time também são liberados para atuar em tarefas mais estratégicas. 

“Ok, e como implementar esse método?”

Essa é provavelmente a pergunta que surge depois de termos esse conceito e seus benefícios em mente. E a Rede Nacional de Ensino e Pesquisa (RNP) responde com uma solução: o DevSecOps In a Box. Uma aposta da organização para possibilitar que qualquer instituição interessada possa começar a usar o método rapidamente, de maneira eficiente. A criação da RNP consiste em um pacote que inclui um amplo conjunto de ferramentas e processos que facilitam a adesão do DevSecOps no processo de desenvolvimento de plataformas digitais. 

Esse pacote já foi implementado em diversas soluções digitais desenvolvidas pela RNP, como o projeto Internet Brasil, o Portal do Acesso Único e a plataforma do Sistema Nacional de Gestão do Patrimônio Genético e do Conhecimento Tradicional Associado (SisGen), iniciativas patrocinadas respectivamente pelo Ministério das Comunicações (MCom), Ministério da Educação (MEC) e Ministério de Ciência, Tecnologia e Inovações (MCTI). Essas iniciativas passaram pelas etapas de concepção até a produção em menos de dois meses. Sem o DevSecOps In a Box, o tempo necessário para o mesmo trabalho seria de, no mínimo, seis meses. Ou seja, uma redução de quase 67% no prazo.

Image
DevSecOps

Para Marcello de Jesus, diretor adjunto da USDE, o DevSecOps é uma evolução natural e “sem caminho de volta” na maneira como as organizações abordam a segurança no âmbito do desenvolvimento de softwares. “O DevSecOps in a box é uma excelente oportunidade para a RNP apoiar seus clientes na evolução do processo de desenvolvimento de software e gestão da infraestrutura como código. O cliente consegue visualizar na prática como todo o conceito funciona. DevSecOps In a box é um instrumento poderoso para apoiar os times de TI na transição do processo tradicional de desenvolvimento e operação para um processo mais moderno, intuitivo e com uma abordagem totalmente inovadora, propiciando uma mudança radical na cultura de como fazer as coisas”.